DORA sau Directiva NIS2?
Aceste directive contin recomandari pentru imbunatatirea securitatii cibernetice din companii. Dacă nu sunteți in conformitate cu acestea, practic nu sunteți în siguranță.
Actul privind reziliența operațională digitală (DORA) vizează în mod specific sectorul financiar, abordând necesitatea unei solide gestionări a riscurilor IT.
Cadrul DORA este reglementat prin Regulamentul 2022/2554 al UE.
În cazul atât DORA, cât și NIS2, percepția generală a regulilor și reglementărilor ca obstacole nu se aplică.
Ce 5 piloni principali ai directivei DORA
1 – Gestionarea riscurilor: Obiectivul regulamentului DORA este ca entitățile financiare să dețină un cadru robust și bine documentat pentru gestionarea riscurilor IT, pentru a asigura reziliența operațională digitală.
Politicile de continuitate a activității și planurile de recuperare în caz de dezastru trebuie să abordeze în mod specific securitatea cibernetică și, de asemenea, trebuie să ia în considerare funcțiile cheie care au fost externalizate sau sunt furnizate prin colaborari cu terte persoane sau terti parteneri.
2 – Raportarea incidentelor: Regulamentul DORA prevede o armonizare a raportării în cadrul diferitelor reglementări, cum ar fi GDPR, NIS2, e-IDAS, SSM, PSD2 etc. Încă nu există linii directoare concrete în regulament, însă viziunea este de a centraliza raportarea incidentelor majore legate de IT într-un singur punct de acces la nivelul UE pentru raportarea incidentelor IT majore de către entitățile financiare. Aici, liniile directoare pentru NIS2 pot fi utilizate ca punct de pornire.
3 – Testarea rezilienței operaționale digitale: Entitățile financiare ar trebui să efectueze periodic teste cuprinzătoare de reziliență operațională digitală. Obiectivul este de cel puțin o dată pe an. Regulamentul DORA are, de asemenea, o prevedere specifică care solicită companiei să se asigure că furnizorii de servicii IT terți sunt incluși în testele lor. Testarea de penetrare bazată pe amenințări trebuie efectuată cel puțin o dată la trei ani.
4 – Riscul furnizorilor IT terți: În regulamentul DORA, gestionarea riscului furnizorilor IT terți este o componentă integrantă a cadrului de gestionare a riscurilor IT. DORA impune ca furnizorii critici de servicii IT să fie supravegheați de autoritățile de supraveghere europene care monitorizează industria financiară. Astfel, entitatea financiară ar trebui să se asigure că nu numai furnizorii terți sunt evaluați în ceea ce privește securitatea cibernetică, ci că furnizorii terți critici respectă, de asemenea, DORA.
5 – Partajarea informațiilor: DORA include partajarea amenințărilor cibernetice pentru a învăța colectiv din incidente. Partajarea voluntară a informațiilor ar trebui să aibă loc prin aranjamente de partajare a informațiilor în cadrul comunităților de încredere. Entitățile financiare vor fi solicitate să notifice autoritățile competente cu privire la participarea lor la astfel de colaborari de partajare a informațiilor, astfel încât autoritățile de supraveghere să poată asigura un echilibru adecvat între securitatea cibernetică și protecția vieții private.
DORA sau NIS2?
În timp ce atât NIS2, cât și DORA își propun să îmbunătățească securitatea cibernetică, aplicarea lor diferă.
NIS2 are o acoperire sectorială mai largă, impunând măsuri de securitate cibernetică în diverse sectoare critice.
DORA, pe de altă parte, este adaptat în mod specific sectorului financiar, cu o concentrare pe riscurile IT.
NIS2 stabilește o linie de bază pentru securitatea cibernetică în multiple sectoare, în timp ce DORA oferă o abordare țintită pentru entitățile financiare, furnizând un set mai detaliat de reguli.
Pentru sectorul financiar în general, ambele cadre se vor aplica simultan, astfel că majoritatea instituțiilor financiare vor trebui să respecte atât NIS2, cât și DORA.
Liniile directoare ale Comisiei Europene clarifică când să se utilizeze DORA și NIS2. Acolo unde există reguli specifice sectorului, cum ar fi DORA, și sunt cel puțin echivalente sau mai stricte decât NIS2, prevederile DORA au prioritate.
Pentru entitățile din sectorul financiar, DORA este cadrul de reglementare principal, însă completat de NIS2 acolo unde DORA este mai puțin strictă.
Principalele recomandari din cadrul directivei DORA
Lista următoare nu este exhaustivă, însă vă va oferi o idee despre subiectele care trebuie acoperite cel puțin pe lângă un cadru solid de gestionare a riscurilor.
Cele 49 de puncte principale de mai jos au trimitere directa la articolul din cadrul directivei:
Stabiliți un program regulat de backup pentru datele critice
Articolul 12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare
Stocați backup-urile în locații multiple (locație externă și/sau stocare în cloud)
Articolul 12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare
Implementați un sistem de versiuni pentru a urmări și restabili versiuni anterioare ale datelor
Articolul 12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare
Criptați backup-urile pentru a proteja datele sensibile
Articolul 9 – Protecție și prevenire
Testați periodic procesele de backup și recuperare pentru a asigura integritatea datelor
Articolul 25 – Testarea instrumentelor și sistemelor IT
Implementați conexiuni de rețea redundante pentru a preveni punctele unice de defecțiune
Articolul 7 – Sisteme, protocoale și instrumente IT
Utilizați echilibratoare de încărcare pentru a distribui traficul uniform între resurse
Articolul 7 – Sisteme, protocoale și instrumente IT
Utilizați soluții de failover de rețea (de exemplu, routere redundante, switch-uri)
Articolul 7 – Sisteme, protocoale și instrumente IT
Monitorizați performanța și latența rețelei pentru a detecta potențiale probleme
Articolul 10 – Detectare
Testați redundanța rețelei și procesele de failover pentru a asigura funcționarea corespunzătoare
Articolul 25 – Testarea instrumentelor și sistemelor IT
Implementați un sistem de monitorizare pentru a urmări starea și performanța infrastructurii cloud
Articolul 10 – Detectare
Configurați alerte pentru evenimente critice și praguri de performanță
Articolul 10 – Detectare
Monitorizați utilizarea resurselor pentru a identifica potențiale blocaje și probleme de capacitate
Articolul 10 – Detectare
Stabiliți un sistem centralizat de jurnalizare pentru a colecta și analiza jurnalele din diverse componente
Articolul 13 – Învățare și evoluție
Revizuiți regulat datele de monitorizare pentru a identifica tendințele și îmbunătăți reziliența infrastructurii
Articolul 13 – Învățare și evoluție
Dezvoltați un plan formal de răspuns la incidente, inclusiv roluri și responsabilități
Articolul 11 – Răspuns și recuperare
Stabiliți un plan de comunicare pentru părțile interesate interne și externe în timpul incidentelor
Articolul 14 – Comunicare
Efectuați exerciții periodice de răspuns la incidente pentru a testa și perfecționa planul
Articolul 11 – Răspuns și recuperare
Documentați lecțiile învățate din incidente și actualizați planul de răspuns la incidente în consecință
Articolul 13 – Învățare și evoluție
Oferiți instruire personalului cu privire la procesele și cele mai bune practici de răspuns la incidente
Articolul 13 – Învățare și evoluție
Evaluați periodic capacitatea infrastructurii și planificați pentru creștere
Articolul 9 – Protecție și prevenire
Implementați strategii de scalare automată pentru a gestiona fluctuațiile de sarcină
Articolul 9 – Protecție și prevenire
Utilizați testele de sarcină pentru a identifica limitele de capacitate și potențialele blocaje
Articolul 9 – Protecție și prevenire
Monitorizați utilizarea resurselor pentru a anticipa și aborda potențialele probleme de capacitate
Articolul 9 – Protecție și prevenire
Revizuiți și actualizați planurile de capacitate pe baza cerințelor de afaceri și a creșterii în schimbare
Articolul 9 – Protecție și prevenire
Implementați mecanisme robuste de autentificare și autorizare
Articolul 9 – Protecție și prevenire
Revizuiți și actualizați periodic permisiunile de acces pentru utilizatori
Articolul 9 – Protecție și prevenire
Aplicați remedieri de securitate și actualizări prompt
Articolul 7 – Sisteme, protocoale și instrumente IT
Efectuați evaluări periodice de vulnerabilitate și teste de penetrare
Articolul 25 – Testarea instrumentelor și sistemelor IT
Proiectați aplicațiile pentru a fi fără stare și scalabile orizontal
Articolul 7 – Sisteme, protocoale și instrumente IT
Implementați întrerupătoare de circuit și reîncercări pentru a gestiona defecțiunile tranzitorii
Articolul 7 – Sisteme, protocoale și instrumente IT
Utilizați verificări de stare și echilibrare de sarcină pentru a distribui traficul între instanțe
Articolul 7 – Sisteme, protocoale și instrumente IT
Izolați componentele aplicației pentru a limita impactul defecțiunilor
Articolul 7 – Sisteme, protocoale și instrumente IT
Monitorizați performanța aplicației și ratele de eroare pentru a identifica potențiale probleme
Articolul 10 – Detectare
Implementați infrastructura în mai multe centre de date sau zone de disponibilitate
Articolul 12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare
Utilizați replicarea geografică pentru a stoca redundant datele în diferite regiuni
Articolul 12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare
Implementați o echilibrare a sarcinii globale pentru a distribui traficul în centrele de date
Articolul 7 – Sisteme, protocoale și instrumente IT
Testați procesele de failover între centrele de date pentru a asigura o recuperare lină
Articolul 25 – Testarea instrumentelor și sistemelor IT
Revizuiți și actualizați periodic strategiile de redundanță ale centrelor de date pe baza nevoilor în evoluție
Articolul 13 – Învățare și evoluție
Efectuați teste periodice de recuperare în caz de dezastru și failover
Articolul 25 – Testarea sistemelor IT
Utilizați tehnici pentru a simula defecțiuni și teste de reziliența a sistemului
Articolul 25 – Testarea sistemelor IT
Testați procesele de backup și recuperare pentru a valida integritatea datelor
Articolul 12 – Politici și proceduri de backup, proceduri și metode de restaurare și recuperare
Efectuați teste de încărcare și stres pentru a identifica limitele de capacitate și potențialele blocaje
Articolul 25 – Testarea sistemelor IT
Utilizați rezultatele testelor pentru a informa actualizările și îmbunătățirile rezilienței infrastructurii
Articolul 13 – Învățare și evoluție
Documentați arhitectura, procesele și cele mai bune practici pentru reziliența cloud
Articolul 13 – Învățare și evoluție
Mențineți o bază de cunoștințe centralizată pentru acces facil la documentație
Articolul 13 – Învățare și evoluție
Revizuiți și actualizați regulat documentația pentru a reflecta modificările și îmbunătățirile
Articolul 13 – Învățare și evoluție
Încurajați schimbul de cunoștințe și colaborarea între membrii echipei
Articolul 13 – Învățare și evoluție
Oferiți instruire și resurse pentru a ajuta personalul să rămână informat despre reziliență
Articolul 13 – Învățare și evoluție
Cei mai importanti pași pentru a asigura conformitatea lanțului de aprovizionare cu NIS2!
Pe lângă sarcina de a asigura un mediu de securitate cibernetică solid intern, Directiva NIS2 în articolul 21 secțiunea 2 și 3 stipulează că este responsabilitatea companiei să se asigure că lanțul de aprovizionare upstream este conform și, de asemenea, securizat împotriva vulnerabilităților în acest sens.
Nu este suficient să se declare pur și simplu în contractele cu furnizorii că aceștia sunt conformi – trebuie depuse eforturi pentru a “identifica” și “evalua”, după cum se menționează în directivă.
Aici, un compliance assessment tool pentru evaluarea furnizorilor reprezintă o soluție potrivita.
Multe companii utilizează fie proceduri manuale în software-ul lor de gestionare a furnizorilor – sistemul ERP, fie folosesc metoda consumatoare de timp – Excel.
Acest lucru va face ca sarcina să fie una inutilă și consumatoare de timp, deoarece totul trebuie gestionat manual. În plus, astfel de proceduri manuale vor aduce probleme adiționale de erori umane în date.
Utilizarea unui instrument automatizat și dedicat de evaluare a conformității furnizorilor poate elimina aceste provocări. Un astfel de instrument poate extrage automat furnizorii relevanți, poate trimite automat solicitări de completare a analizei diferențelor, poate procesa automat răspunsurile și genera rapoarte sintetice pe baza standardelor și reglementărilor aplicabile, cum ar fi NIS2 și DORA.
Acest proces automatizat va economisi timp și resurse valoroase, va reduce erorile umane și va oferi o imagine de ansamblu clară și ușor de interpretat asupra conformității furnizorilor. În plus, astfel de instrumente dedicate pot fi configurate pentru a respecta cerințele specifice și modificările viitoare ale reglementărilor, asigurând o conformitate continuă.
Realizarea evaluărilor furnizorilor în cadrul NIS2 implică o evaluare sistematică a riscurilor de securitate cibernetică asociate cu furnizorii terți.
Aproape toți furnizorii din mediul de afaceri actual vor avea acces direct sau indirect la rețeaua și sistemele dumneavoastră. Chiar și în cazul în care este vorba doar despre acces fizic la sediul dumneavoastră, tot va exista un risc.
Iată un proces general pentru realizarea evaluărilor furnizorilor în cadrul NIS2:
1. Identificarea furnizorilor relevanți: Întocmiți o listă cu toți furnizorii care au acces la rețeaua dumneavoastră sau furnizează servicii care ar putea afecta securitatea rețelelor și sistemelor informatice ale organizației dumneavoastră. Aceasta include atât furnizorii de servicii digitale, cât și non-digitale.
2. Clasificarea furnizorilor: Prioritizați furnizorii în funcție de nivelul de risc pe care îl prezintă pentru organizația dumneavoastră. Se pot utiliza mai multe elemente, cum ar fi criticitatea serviciilor pe care le furnizează, sensibilitatea datelor pe care le gestionează și anvergura accesului la rețelele și sistemele dumneavoastră.
3. Evaluarea riscurilor: Realizați o evaluare detaliată a riscurilor pentru fiecare furnizor pentru a identifica potențiale vulnerabilități, amenințări și riscuri pentru rețelele și sistemele informatice ale organizației dumneavoastră. Acest lucru poate implica revizuirea politicilor, procedurilor, controalelor și incidentelor din trecut de securitate. Cu toate acestea, metoda cea mai pragmatică este pur și simplu să adresați întrebări relevante furnizorilor.
4. Cerințe de securitate: Stabiliți cerințe și standarde clare de securitate pe care furnizorii trebuie să le îndeplinească pentru a asigura securitatea rețelelor și sistemelor informatice ale organizației dumneavoastră. Acestea pot include cerințe legate de protecția datelor, controalele de acces, răspunsul la incidente și conformitatea cu reglementările relevante. Nu toți furnizorii vor putea fi conformi cu NIS2, iar aici stabilirea practicilor de atenuare acceptate va fi necesară.
5. Evaluarea furnizorilor: Evaluați conformitatea fiecărui furnizor cu cerințele de securitate stabilite prin diverse mijloace, cum ar fi chestionare, interviuri, evaluări la fața locului și audituri terțe. Un instrument pentru gestionarea evaluărilor de conformitate va fi benefic pentru monitorizarea progresului, indiferent de metoda utilizată.
6. Obligații contractuale: Includeți cerințele de securitate în contractele și acordurile cu furnizorii pentru a formaliza angajamentul lor față de securitate și a specifica consecințele pentru neconformitate. În cadrul NIS2, având astfel de prevederi în vigoare nu este suficient pentru a asigura conformitatea, deoarece este necesară și o anumită formă de evaluare.
7. Monitorizare și conformitate: Monitorizați în mod continuu conformitatea furnizorilor cu cerințele de securitate și obligațiile contractuale prin evaluări, audituri și revizuiri periodice. Acest lucru înseamnă realizarea evaluărilor în mod regulat. De aceea, nu ar trebui să vă bazați pe proceduri manuale, deoarece sarcina se va repeta.
8. Acțiuni corective și îmbunătățiri: Luați măsuri corective pentru a aborda orice neconformitate sau lacune de securitate identificate și colaborați cu furnizorii pentru a implementa măsuri care vor atenua sau închide lacunele și vor îmbunătăți postura lor de securitate cibernetică de-a lungul timpului.
9. Documentare și raportare: Mențineți o documentație cuprinzătoare a evaluărilor furnizorilor și a progresului pentru a asigura conformitatea cu NIS2. Ar trebui să puteți documenta că ați lucrat efectiv cu lanțul de aprovizionare atunci când sunteți abordați de autorități sau când aveți o încălcare de securitate pe care trebuie să o raportați. Această documentație vă va asigura, de asemenea, o viziune cuprinzătoare asupra riscurilor lanțului de aprovizionare pentru uzul dvs. intern.